IAM - Arkitekt - ATJ6224

Beskrivelse av oppdraget

DIGA (Digitaliseringsavdelingen) er UDI sin IT-avdeling, som i tillegg til drift og vedlikehold

har flere større pågående programmer.

Det er nå et behov for bistand innenfor fellessystemet «utlendingsforvaltningen» med IAM,

med fokus på samhandlingsaktører. Det er behov for bistand fra en seniorrådgiver knyttet

til rollen autorisering/føderasjon. Ressursen vil jobbe med andre ressurser for å utarbeide

MVP for IAM relatert til IdP (Keycloak) og PDP (OPA/Axiomatics).

Vi ønsker en erfaren konsulent med sterk IAM-kompetanse innen føderering og

fingranulert tilgangsstyring. UDI jobber med modernisering av saksbehandlingsløsningen

som brukes av flere virksomheter (samhandlingsaktører). Brukere skal autentiseres i sine

respektive virksomheter, men fødereres inn i en felles løsningsplattform, hvor policybasert

og relasjonsbasert autorisering står i sentrum. I tillegg skal det tilbys løsning for å

provisjonere / deprovisjonere brukere og tilhørende roller/grupper via SCIM grensesnitt.

Rollen har særlig fokus på

Etablere føderert IDP (Identitetstilbyder plattform), på-vegne-av-funksjonalitet mellom

saksbehandlere og ledere fra samhandlingsaktører, hvor noen har fokus på å registrere

informasjon, verifisere og knytte informasjon til riktig brukerprofiler og person-objekter og

deres saker, mens andre aktører kan utføre kontrollfunksjoner, men selve saksbehandler

skal bruke løsningen og tilganger for å fatte vedtak. For å kunne fatte korrekt vedtak,

trenger saksbehandler tilgang til all nødvendig informasjon, inkludert historisk informasjon

og informasjon fra andre saker hvor søker har noe relasjon. IAM løsningen skal også

støtte Zero trust med understøttelse av sikkerhetsbevis (access token) som flyter gjennom

sikre API kall og verifikasjon av sikkerhetsbevis mot både IPD og PDP. I tillegg skal det

understøttes med logging og funksjonalitet for sporing. Samt tett integrasjon med

nasjonale felleskomponenter for IAM, slik som ansattporten.

Arbeidsoppgaver

• Designe og implementere IAM-løsninger for samhandlingsaktører

• Etablere IDP for føderering som støtter SAML, OIDC / OAuth 2.0

• Etablere SCIM-basert provisjonering og deprovisjonering

• IAM integrere eksterne virksomheter og samhandlingsaktører

• Utvikle selvbetjeningsløsninger for delegering av roller ressurser.

• Etablere policy-, relasjons- og attributtbasert tilgangskontroll (PBAC, ReBAC,

ABAC)

• Integrere PDP-løsninger som OPA, Axiomatics eller tilsvarende

• Bruke AuthZen mellom PEP og PDP

• Sikre at access tokens / security tokens bærer nødvendige attesterte attributter

• Bidra til sikker token-flyt og Zero Trust-arkitektur

• Samarbeide tett med utviklingsteam, arkitekter og sikkerhetsmiljø

• Veilede utviklingsteam i bruk av IAM

• Oppdatere utviklingshåndboken

• Konfigurerer å sette opp IAM produkter både i utviklingsmiljø, testmiljø og

produksjonsmiljø.

• Migrere eksisterende løsninger som benytter UDI EntraID til å benyttes felles IDP

løsning.

Kompetansekrav

• Ressursen må ha mer enn 5 års erfaring med informasjonssikkerhet

• Ressursen må ha formell utdannelse på Bachelorgrad nivå eller tilsvarende, innenfor IKT fagligområde eller IT-sikkerhet.

• Lang og dokumentert erfaring knyttet til faglig omfang av forespørselen kan oppveie for

kravet om bachelorgrad. Med lang erfaring menes mer enn 10 år

• Ressursen må ha solid erfaring med IAM for samhandlingsaktører på tvers av flere

virksomheter.

• Ressursen må ha god forståelse av OIDC, OAuth 2.0, SAML og god kjennskap til

føderering (SAML, OIDC).

• Ressursen må ha erfaring med Keycloak (eller tilsvarende IDP), både konfigurasjon og drift

i utvikling og produksjon (samt erfaring med (IaC, DevOps (Github Actions eller

tilsvarende)), og kjennskap til Kubernetes.

• Ressursen må ha erfaring med PDP/policy-basert autorisering (OPA, Axiomatics, Ping,

Keycloak Authorization Services)

• Ressursen bør ha erfaring med SCIM og produkter som understøtter SCIM

• Ressursen bør ha forståelse for token-flyt, claims, attributter og autorisering på tvers av

systemlag basert på policy, relasjon og attributter.

• Ressursen bør ha erfaring fra komplekse integrasjonslandskap

• Ressursen bør ha kjennskap til Microsoft EntraID løsning.

Personlige egenskaper

• Utviklings- og løsningsorientert

• Effektiv, systematisk og pragmatisk

• Gode evner til å:

o Lytte og involvere, men samtidig ta beslutninger

o Se detaljer og helhet samtidig

o Arbeide strukturert og skape fremdrift

o Sette seg raskt inn i komplekse problemstillinger

• Meget gode ferdigheter i norsk muntlig og skriftlig

• Pedagogisk evne og vilje til kompetansedeling

• God samarbeidsegenskaper og teamorientert fokus

• Gode kommunikasjonsegenskaper

Vilkår

Omfang: Inntil 1500 timer (100%)

Oppstart: Etter nærmere avtale

Varighet: 31.12.2026

Opsjon: Med opsjon på forlengelse til utlø av rammeavtalen 30.04.2027

Svarfrist: 02.03.2026 kl 16:00